今天分析一个加了变形壳的样本感觉不像有什么保护可是一运行就退出了仔细调试了一下发现是壳中这段代码导致的退出 call dword ptr ds:[edi] ;GetACP cmp eaxA jnz short next push call dword ptr ds:[edi] ;ExitProcess 上网查了一下GetACP() 这个 API 用于判断目前正在生效的ANSI代码页返回值为目前活动ANSI代码页的标识符可能的代码页包括下面这些 泰语日语中文(简体)朝鲜语中文(台湾和香港繁体)Unicode东欧语言西里尔语美国和西欧语言希腊语土耳其语希伯来语阿拉伯语波罗的语 印象中熊猫烧香也是用这个 API 判断日文操作系统的xA 即 若操作系统是简体中文就退出了 |